Windows 이벤트 로그를 활용하여 야생에서 처음으로 셸 코드 덩어리를 숨기는 새로운 악성 캠페인이 발견되었습니다. 카스퍼스키 연구원인 데니스 레게조(Denis Legezo )는 이번 주에 발표된 기술 보고서에서 "'파일이 없는' 마지막 단계의 트로이 목마가 파일 시스템의 눈에 잘 띄지 않도록 숨길 수 있다"고 말했다. 알려진 행위자가 아닌 은밀한 감염 프로세스는 2021년 9월에 의도된 대상이 Cobalt Strike 및 Silent Break 가 포함된 압축 .RAR 파일을 다운로드하도록 유인되어 시작된 것으로 믿어집니다 . Legezo는 "Cobalt Strike 모듈의 확산은 합법적인 사이트 file.io에서 .RAR에 대한 링크를 다운로드하고 스스로 실행하도록 대상을 설득함으로써 이루어졌습니다."라고 설명했습니다. 그런 다음 공격자 시뮬레이션 소프트웨어 모듈을 실행 패드로 사용하여 Windows 시스템 프로세스 또는 신뢰할 수 있는 응용 프로그램에 코드를 삽입합니다. 또한...
#Legezo
#원격
#위협
#이번
#초기
#최종
#통신
#트로이
#파일
#페이로드
#핵심
#실행
#실제
#RAR
#공격
#기술
#다음
#단계
#대한
#목마
#방법
#사용
#서버
#회피
원문링크 : 이 새로운 Fileless Malware는 Windows 이벤트 로그에서 Shellcode를 숨깁니다.
네이버 블로그
티스토리
커뮤니티